400万人以上の個人情報がChromeとFirefoxの拡張機能から流出してネット上で販売されていたことが判明

サイバーセキュリティ研究者のサム・ジャダリ氏は2019年7月20日、「ブラウザの拡張機能を介した壊滅的なデータ漏えい」として「DataSpii(データスパイ)」というセキュリティ問題を報告しました。ジャダリ氏によると、Google ChromeやMozilla Firefoxの拡張機能の一部が個人情報を含む閲覧履歴を収集し、入手した情報をインターネット上で販売していたとのことです。

DataSpii - A global catastrophic data leak via browser extensions
https://securitywithsam.com/2019/07/dataspii-leak-via-browser-extensions/

My browser, the spy: How extensions slurped up browsing histories from 4M users | Ars Technica
https://arstechnica.com/information-technology/2019/07/dataspii-inside-the-debacle-that-dished-private-data-from-apple-tesla-blue-origin-and-4m-people/

DataSpiiは、ChromeやFirefoxの拡張機能8つを介して発生した壊滅的なデータ漏えい問題で、数百万人規模で個人識別情報(PII：Personally Identifiable Information)が流出したと考えられています。拡張機能が収集した情報はブラウザの閲覧履歴の他に、GPSの位置情報やクレジットカード情報、オンラインショッピング履歴、クラウドサービスとそのデータ、納税申告書、家系図、遺伝情報、Facebookの写真、自動車の車両識別番号なども含まれていたとのこと。これらはNacho Analyticsと呼ばれるウェブ分析会社のサイトで、「See Anyone's Analytics Account」というサービスとして有料公開されていたそうです。

以下の画面は公開されていた情報のうち、Apple iCloudのURLリンクを列挙したもの。iCloudでは公にアクセス可能な一意のリンクを生成することができ、そのリンクにアクセスすることで写真の閲覧・ダウンロードが可能になります。また、リンク先では写真が表示されるだけではなく、iCloudのユーザーの姓名が表示されることもあるとのこと。

また、個人だけではなく企業も情報流出の被害に遭っていて、従業員の勤怠情報やプライベートLANの構造、クラウドプラットフォーム内の個人情報、監視カメラの映像などもNacho Analyticsで公開されていたとのこと。例えば以下の画面は、サウスウエスト航空やユナイテッド航空、アメリカン航空のURLとして、個人の姓名と搭乗日程が流出しているところ。サウスウエスト航空はDataSpiiによる流出を受けて、既にシステムの改修を行っていました。

さらに、とある企業がAmazon S3のバケットを購入する時のURLパスも以下の画像の通りに流出。本来ユーザー本人しか知るはずのない認証文字列と一時リンクがずらっと公開されています。

実際にジャダリ氏が試験的に拡張機能で個人情報を流出させ、固有ドメインのウェブトラフィックを監視したところ、第三者からのアクセスが確認されたそうです。この問題をGoogleとMozillaに報告したところ、すぐさま問題のある拡張機能はリモートで無効になり、配信も停止されたとのこと。

DataSpiiに関係があるとされた拡張機能は以下の通り。ジャダリ氏は下記の拡張機能を使っている場合は、アンインストールするだけではなく、共有可能なリンクへのアクセスの制限やメタデータからの個人情報削除なども行うべきだと述べました。

なお、Nacho Analyticsは以前から「あらゆるウェブサイトに対応するリアルタイムウェブ分析」を「100％合法的な手段で、Googleの利用規約とEU一般データ保護規則(GDPR)に完全に準拠して行っている」とアピールしていたとのこと。Nacho AnalyticsはYouTubeのプロモーションムービーでも同様のアピールを行っていたそうですが、Ars TechnicaがDataSpiiについての記事を公開した直後にムービーは削除されてしまった模様です。